美国政府警告西门子医疗器材有漏洞

美国国土安全部底下的安全部门(ICS-CERT)上周警告，德国西门子数款医疗影像器材出现高风险漏洞，遭致远端攻击的风险，目前还未完成修补。
 
事实上西门子已在7月26日发布安全公告。西门子四款分子影像产品受到Windows 7及HP终端自动化（HP Client Automation）软件的4项漏洞影响，可能导致远端入侵，在装置上执行任意程式码。
 
受影响的装置包括PET/CT（正子电脑断层扫描）、SPECT/CT（单光子电脑断层扫描）、SPECT系统，以及终端系统SPECT Workplaces。所有Windows 7版本皆受影响。
 
4项漏洞中，3项漏洞CVE-2015-1497、CVE-2015-7860、CVE-2015-7861影响HP 终端自动化服务，CVE-2015-1635影响Windows 7，它们都能让未经授权的远端攻击者传送变造的呼叫，进而执行任意程式码，影响系统安全性，CVSS Base Score皆为9.8。
 
西门子目前正加紧研发修补程式。在修补完成之前，ICS-CERT和西门子建议医院尽量能让装置连网和公开互联网切开，甚至在不影响病患安全及治疗前提下不要连网。